Уязвимость в проверке подписей сертификатов в библиотеке NSS
Иногда так бывает, что уязвимости льются одна за другой. Пока все обсуждают ShellShock, Mozilla и Google обновляют свои браузеры Firefox и Chrome, чтобы закрыть достаточно серьезную уязвимость, которая может, при определенных обстоятельствах, привести к подделке подписи SSL-сертификата.
Библиотека Network Security Services (NSS), которая используется для криптографии в браузерах Firefox и Chrome, неправильно обрабатывала padding в подписях по стандарту PKCS#1 v1.5 из-за уязвимости в ASN.1-кодировании DigestInfo.
Уязвимость реализации заключается в том, что DigestInfo обрабатывался, будто он закодирован в BER, из-за чего было возможно закодировать один и тот же ASN.1-объект разными способами. Парсер не учитывал некоторые байты в процедуре проверки сертификатов, что позволяло подделывать сертификаты, если при его создании была использована маленькая публичная экспонента (например, 3). Читать дальше →
Библиотека Network Security Services (NSS), которая используется для криптографии в браузерах Firefox и Chrome, неправильно обрабатывала padding в подписях по стандарту PKCS#1 v1.5 из-за уязвимости в ASN.1-кодировании DigestInfo.
Уязвимость реализации заключается в том, что DigestInfo обрабатывался, будто он закодирован в BER, из-за чего было возможно закодировать один и тот же ASN.1-объект разными способами. Парсер не учитывал некоторые байты в процедуре проверки сертификатов, что позволяло подделывать сертификаты, если при его создании была использована маленькая публичная экспонента (например, 3). Читать дальше →
Источник: Хабрахабр
Похожие новости
- Как масштабировать FMCG-бренд и не потерять эффективность на новом рынке
- OSMI IT: Разработка платформы и рекомендательной системы для сервиса подбора digital-агентств NewBiz
- RUWARD выпустил рейтинги агентств по узким специализациям 2025
- Мультивселенная киберполигонов в РФ: часть 2. Интервью технического директора киберполигона ГК «Солар» Сергея Кулакова
- ТОП офлайн-приложений для связи, навигации и выживания
- Каждый третий пользователь использует формат историй, чтобы напомнить о себе
- [Перевод] [Перевод] Поиск способов закрепления в Linux (Часть 1)
- Иностудио: Как геймификация увеличила вовлечённость на 15%: разбор реальных HR-кейсов
- Ашманов и партнеры: SEO-продвижение бренд-медиа
- МБК: Как самозанятым и предпринимателям не остаться без денег на пенсии